Scusa se è già stata data una risposta, non sono riuscito a trovare questo esempio esatto e volevo ottenere una risposta più chiara per un cliente.
Comprendo che un iframe con un portale di pagamento https su un sito di incorporamento http (non sicuro) non è sicuro.
Se il sito con l'embed è https e il portale di pagamento incorporato con un iframe è https, è sicuro o sarebbe meglio abbandonare l'iframe e collegarlo direttamente al portale fuori dal sito? E se sì, perché?
Grazie in anticipo:)
L'incorporamento e il frame SSL e la pagina HTTP non sono sicuri se la pagina host è MITM e sostituita con un host di phishing e un frame di phishing. Questo è l'unico pericolo. La stessa politica di origine protegge tutto il resto fintanto che si trovano su origini diverse (presumo che lo siano perché perché altrimenti non avresti SSL su questa pagina?).
Contro un attaccante passivo, questo è sicuro. Se modificano attivamente il tuo traffico e modificano l'URL SRC del frame, tutte le scommesse sono disattivate. Il contenuto della pagina originale è sicuramente sicuro, ma è molto difficile sapere quale sia la posizione effettiva di un iframe come utente.